ta2101 - RunkIntel

# TA2101 > [!high] Afiliado do Ransomware Maze - Inativo desde 2020 > TA2101 foi um dos principais operadores do ransomware Maze, responsável por campanhas de dupla extorsão contra empresas na Alemanha, Itália e EUA entre 2019 e 2020. O grupo foi pioneiro em impersonar agências fiscais governamentais para disseminar malware. > [!latam] Relevância para o Brasil e América Latina > O TA2101 não tem histórico documentado no Brasil ou na LATAM e está inativo desde 2020. Sua relevância histórica reside no modelo de dupla extorsão e impersonação de autoridades fiscais — técnicas que foram adotadas por grupos de ransomware que afetam ativamente o Brasil, incluindo afiliados do LockBit e do ALPHV/BlackCat. O modelo RaaS que o Maze pioneirizou é a base do ecossistema criminoso atual. ## Visão Geral TA2101 é um grupo criminoso financeiramente motivado identificado pela Proofpoint, conhecido por distribuir o [[maze-ransomware|ransomware Maze]] como afiliado do ecossistema Maze. O grupo operou entre 2019 e 2020, focando em campanhas de phishing altamente direcionadas que imitavam agências governamentais legítimas para enganar vítimas corporativas. A principal inovação do TA2101 foi o modelo de impersonação de autoridades fiscais — na Alemanha, o grupo se passava pelo Bundeszentralamt für Steuern (Ministério Federal das Finanças), enquanto na Itália imitava a Agenzia delle Entrate (Receita Federal italiana). Nos EUA, o grupo usou o logotipo e identidade do USPS (Serviço Postal dos EUA) para distribuir o [[s0483-icedid|IcedID banking trojan]]. O grupo é classificado como afiliado do ecossistema Maze — não era o desenvolvedor do ransomware, mas um dos operadores responsáveis por distribuição e acesso inicial. Esse modelo de afiliados, pioneiro do Maze, inspirou toda a geração moderna de grupos de ransomware-como-serviço (RaaS). TA2101 foi identificado como compartilhando infraestrutura e TTPs com [[g0037-fin6|FIN6]], conforme relatórios da Mandiant e HHS. Com o encerramento das operações do Maze em novembro de 2020, as atividades do TA2101 cessaram. Acredita-se que membros do grupo migraram para operações sob [[s0554-egregor|Egregor]] ou outros ransomwares derivados do código Maze. ## Attack Flow - Campanha Típica ```mermaid graph TB A["📧 Spear-phishing Impersonação fiscal Alemanha / Itália / EUA"] --> B["🔗 Link malicioso ou anexo Word/Excel com macro VBA"] B --> C["💉 Dropper stage Cobalt Strike beacon ou IcedID"] C --> D["🔍 Reconhecimento Advanced IP Scanner AdFind - enumeração AD"] D --> E["↔️ Movimento lateral RDP + credenciais capturadas PsExec / SMBExec"] E --> F["📤 Exfiltração 7zip + WinSCP via FTP para servidor externo"] F --> G["💥 Ransomware Maze Cifração RSA-2048 + ChaCha20"] G --> H["💰 Dupla extorsão Ameaça de publicação + cobrança de resgate"] ``` ## TTPs Mapeados | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-phishing\|T1566]] | Phishing com lures de autoridades fiscais | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de payloads | | Persistence | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Registro de autostart e tarefas agendadas | | Lateral Movement | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP com credenciais capturadas | | Collection | [[t1560-001-archive-via-utility\|T1560.001]] | 7zip para arquivar dados antes da exfiltração | | Exfiltration | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003]] | WinSCP via FTP não cifrado | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Maze (RSA-2048 + ChaCha20) | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS para C2 via Cobalt Strike | ## Perfil de Vitimologia TA2101 seguiu o padrão de "big game hunting" do ecossistema Maze, priorizando organizações com capacidade de pagar resgates elevados: - **Alemanha**: empresas e organizações de médio e grande porte, especialmente manufatura e serviços - **Itália**: setor corporativo e pequenas e médias empresas com dados sensíveis - **EUA**: múltiplos setores usando lures USPS com entrega de [[s0483-icedid|IcedID]] como vetor inicial O tempo médio entre comprometimento inicial e implantação do ransomware era de **14 a 21 dias**, período usado para reconhecimento extensivo e maximização do impacto. ## Contexto no Ecossistema Maze ```mermaid graph TB A["Maze Developers Desenvolvedores do ransomware core team russo"] --> B["TA2101 Afiliado - acesso inicial e distribuição"] A --> C["FIN6 Afiliado - POS attacks e Big Game Hunting"] A --> D["Outros afiliados Múltiplos grupos modelo RaaS"] B --> E["Vítimas Alemanha / Itália / EUA via phishing fiscal"] C --> E ``` Maze foi o **primeiro grupo de ransomware a popularizar a dupla extorsão** — roubar dados antes de criptografar e ameaçar publicá-los caso o resgate não fosse pago. TA2101 foi um dos operadores que alavancou essa capacidade, utilizando o site de vazamentos do Maze para pressionar vítimas. ## Detecção e Defesa **Indicadores comportamentais:** - Emails de phishing imitando autoridades fiscais com domínios de lookalike (Bundeszentralamt, Agenzia delle Entrate, USPS) - Uso de Cobalt Strike com C2 via HTTPS em portas não padrão - Uso de `Advanced IP Scanner` e `AdFind` para reconhecimento interno - Arquivamento com 7zip seguido de upload FTP via WinSCP para servidores externos **Mitigações prioritárias:** - [[m1049-antivirus\|M1049]] - Bloquear execução de macros em documentos Office via Group Policy - [[m1017-user-training\|M1017]] - Treinamento para reconhecer lures de impersonação fiscal - [[m1030-network-segmentation\|M1030]] - Segmentação de rede para limitar movimento lateral via RDP - [[m1041-encrypt-sensitive-info\|M1041]] - Backups offline verificados regularmente ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/tactics-techniques-procedures-associated-with-maze-ransomware-incidents) Mandiant - Navigating the MAZE: TTPs Associated with MAZE Ransomware Incidents (2020) - [2](https://malpedia.caad.fkie.fraunhofer.de/actor/ta2101) Malpedia - TA2101 Actor Profile (2026) - [3](https://www.hhs.gov/sites/default/files/maze-ransomware.pdf) HHS - Maze Ransomware Analysis (2020) - [4](https://www.huntress.com/threat-library/threat-actors/maze) Huntress - Maze Threat Actor Profile (2025)